Google Password Checkup extensie

Conclusie: handig en veilig

Google heeft de gratis browseruitbreiding Password Checkup in de Chrome Web Store gezet. Iedere keer dat je ergens inlogt, checkt de extensie of je wachtwoord voorkomt in een lijst met miljarden gehackte en gelekte inloggegevens. Zo word je gewaarschuwd als cybercriminelen je wachtwoorden kunnen misbruiken en dat je ze moet aanpassen.

We installeerden de Chrome-extensie en kwamen tot de conclusie dat hij goed werkt, maar dat een handmatige wachtwoordencheck niet helemaal overbodig wordt.

Voordelen

Een controle op gehackte en gelekte wachtwoorden kon je altijd zelf al doen via websites als haveibeenpwned.com.

De automatische check van de Google-extensie heeft 2 voordelen:

• Op iedere website waarschuwt hij als je gehackte of gelekte inloggegevens gebruikt. Ofwel, is je wachtwoord via het grote LinkedIn-lek van enkele jaren terug buitgemaakt, maar was je vergeten dat je dat wachtwoord ook bij je energiemaatschappij had gebruikt? Dan waarschuwt Google ook als je daar met dat wachtwoord inlogt.
• Een ander voordeel van Google Password Checkup is dat als er nieuwe inloggegevens op straat liggen, hij meteen waarschuwt als je ze gebruikt. Je hoeft dus niet regelmatig zelf websites met lijsten te raadplegen. Voorwaarde is dat Google zijn lijst met gelekte inloggegevens wel net zo goed bijhoudt als bijvoorbeeld haveibeenpwned. Dit moet nog blijken, maar we verwachten dat Google dit zal doen.

Nadelen

Google Checkup werkt goed maar kent wel 2 nadelen:

• Password Checkup maakt af en toe controleren op haveibeenpwned toch niet helemaal overbodig. Want anders zie je voor gehackte accounts die je sporadisch gebruikt pas een waarschuwing bij die ene keer dat je wel inlogt. En dat kan aan de late kant zijn.
• De extensie is er alleen voor Chrome-browsers op je pc of laptop en niet voor mobiele apparaten.

Veiligheid

Hoe zit het met de veiligheid van de extensie zelf? Google ontvangt jouw wachtwoorden en gebruikersnamen niet. Er wordt een zogenoemde ‘hash’ van berekend, een soort versleuteling die maar één kant op werkt. De naar Google verstuurde hash wordt vergeleken met de lijst met wachtwoorden, die ook gehasht zijn. Google ziet alleen of er een match is met een al gehackt of gelekt wachtwoord. De extensie is ontwikkeld samen met de Universiteit van Stanford en lijkt goed in elkaar te zitten. Google houdt wel bij hoe vaak per website een wachtwoordcheck plaatsvindt.

Sterke wachtwoorden en passwordmanager belangrijk

Wil of kun je de extensie niet gebruiken, bijvoorbeeld omdat je FireFox of Safari hebt, dan is af en toe haveibeenpwned.com checken verstandig. Er zijn ook wachtwoordmanagers, zoals LastPass, die een ingebouwde functie hebben om je wachtwoord te checken. Zowel op wachtwoordsterkte en of ze in een bekend lek voorkomen. Een wachtwoordmanager is niet alleen een manier om veiliger met wachtwoorden om te gaan – en daarmee voor iedere site een verschillend uniek wachtwoord te gebruiken - maar na enige gewenning is het vaak ook handiger.

Of je nu wel of geen Google Password Checkup en passwordmanager hebt, gebruik sterke en verschillende wachtwoorden voor elke site. Daarmee voorkom je dat wachtwoorden in handen van kwaadwillende hackers komen en dat ze er iets mee kunnen als dat toch gebeurt.

Lees ook:

• Test password managers
• Meer over veilig internetten